Opinie

Blog Microsoft Exchange wormen

24.05.2012 door Paul van den Berg

Als eerste is er dan e-mail. Microsoft Exchange blijkt bijzonder gevoelig voor wormen die zich richten op licentieverlening. Er zijn er verschillende waarvan er niet één goed gedocumenteerd is. Zelfs een licentiedeskundige als Paul DeGroot kan ze, zoekende door de Microsofts licentiedocumenten, zoals het document Product Use Rights, de productlijst of de volumelicentie contracten, niet makkelijk vinden. Hij vond ze eigenlijk bij toeval - soms gewaarschuwd door klanten, in andere gevallen via een opmerking in een Microsoft-brochure. Het bestaan van niet-gedocumenteerde wormen werd bevestigd tijdens verdere gesprekken met Microsoft.

De external connector worm

Soms wil een organisatie aan derden veilige toegang tot zijn e-mail geven. Dit komt vaak voor bij bedrijven die veel met andere organisaties samenwerken in bijvoorbeeld joint ventures, bij grote projecten of als onderdelen van de bedrijfsvoering zijn uitbesteed zoals gedeelten van de HR afdeling, de financiële- of de inkoopafdeling. Met Exchange heeft een Microsoft-klant een paar opties. Als slechts een paar met name genoemde personen betrokken zijn, kan de ontvangende organisatie Exchange Client Access Licenses (CAL's) kopen voor de buitenstaanders, die vervolgens legaal de Exchange-servers van de organisaties kunnen benaderen.

Als een organisatie meerdere groepen van partners heeft die behoefte hebben aan toegang tot het systeem, is een Exchange External Connector een andere voor de hand liggend keuze. In plaats van individuele CAL's aan te schaffen (die kosten tussen de 53 en 68 euro, afhankelijk van hoeveel je koopt), kan u een External Connector kopen voor ergens tussen de 40.000 en 50.000 euro. Een External Connector geeft een onbeperkt aantal externe gebruikers toegang tot het systeem zonder dat afzonderlijke CAL’s nodig zijn. Het voordeel is dat de organisatie niet hoeft op te sporen en bij te houden wie er een CAL nodig heeft, wat moet er mee gebeuren als een medewerker vertrekt, enz. Als een organisatie toegang moet geven tot veel externe medewerkers lijkt deze optie zelfs minder duur.

Maar de organisatie die deze route op gaat zal te maken krijgen met de begroting-etende Exchange External Connector Worm. Van Microsoft mag u namelijk niet één Exchange External Connector kopen voor slechts één van uw Exchange-servers. U bent verplicht deze connector te kopen voor elke afzonderlijke Exchange implementatie in uw organisatie.

Het is niet ongewoon dat een grote organisatie 100 of meer Exchange-servers in gebruik heeft, vooral als ze gebruik maken een high-end Exchange systeem met meerdere rollen, zoals geclusterde mailbox servers, gespecialiseerde Client Access-servers, hub transport, rand-servers, en dergelijke. Een organisatie van die grootte heeft waarschijnlijk relaties met een aantal externe gebruikers die toegang hebben tot de Exchange-servers. Zo’n organisatie moet 100 Exchange External Connectors kopen, tegen een kostprijs van ongeveer 4 miljoen euro. Dat is overigens meer dan een organisatie van deze omvang zal besteden aan elke andere Exchange-licentie voor al haar gebruikers.

Microsoft's positie

Microsoft biedt hiervoor behulpzaam een gedeeltelijke oplossing: de klant kan de Exchange-infrastructuur zo veel mogelijk virtualiseren. De reden is dat External Connector gelicenseerd wordt per server, in plaats van per Exchange-instances. Hoe meer instances van Exchange de klant op een server kan stapelen, des te minder External Connector licenties er nodig zijn. Dit advies van Microsoft is nogal ironisch omdat slechts een paar jaar geleden Microsoft tegen het virtualiseren van Exchange was. Bovendien zal een organisatie met een Multirole Exchange-infrastructuur het laatste beetje van Exchange prestaties en schaalbaarheid willen benutten. Consolidatie van een aantal rollen op een stuk hardware zal prestaties saboteren en de beschikbaarheid verminderen.

Ons advies

Ons advies aan organisaties die meer dan een Exchange instance gebruiken is om zo ver mogelijk van Exchange External Connector weg te blijven. Als u externe gebruikers toegang tot uw e-mailsysteem wilt geven zijn er verschillende alternatieven, zoals hosted Exchange-servers. Die worden gelicenseerd op basis van “named user” (ook makkelijker bij te houden dan CAL's). Die kunnen worden gesynchroniseerd met uw lokale Active Directory om externe gebruikers toegang tot uw algemene adreslijst te geven en ze graven (nog) geen hongerige wormen op.